Di seguito vengono descritti tutti i bollettini sulla sicurezza relativi a Dataflow.
Per ricevere i bollettini sulla sicurezza più recenti, procedi in uno dei seguenti modi:
- Aggiungi l'URL di questa pagina al tuo lettore di feed.
- Aggiungi l'URL del feed direttamente al lettore di feed:
https://cloud.google.com/feeds/dataflow-security-bulletins.xml
GCP-2024-040
Pubblicato: 03/07/2024
Descrizione | Gravità | Note |
---|---|---|
Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387 in OpenSSH. I job Dataflow potrebbero creare VM che usano un'immagine sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire a utenti malintenzionati di ottenere l'accesso root alle VM worker di Dataflow. Le VM worker di Dataflow con indirizzi IP pubblici e SSH esposte a internet devono essere trattate con la massima priorità per la mitigazione. Che cosa devo fare?È disponibile un'immagine VM Dataflow con patch che include un OpenSSH aggiornato. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione delle pipeline e quindi di applicare le mitigazioni descritte, se necessario. Non consentire SSH alle VM worker DataflowQuesta azione è la mitigazione più efficace contro le vulnerabilità attuali e future in SSH. L'accesso SSH alle VM worker di Dataflow non è necessario per il funzionamento di Dataflow o per il debug della maggior parte dei problemi di Dataflow. Utilizza il seguente comando di Google Cloud CLI per disabilitare SSH per le VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=NETWORK \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Per annullare questa azione, utilizza il comando Aggiorna o riavvia le pipeline di flusso a lunga esecuzioneQuesta azione risolve la vulnerabilità specifica menzionata in questo bollettino. Tutti i job Dataflow avviati dopo il 4/07/2024 alle 22:00 PDT utilizzano l'immagine VM con patch. Per le pipeline di flusso avviate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviare il job. Identificare quali job Dataflow hanno VM worker con indirizzi IP pubbliciA meno che l'accesso non sia bloccato dai firewall, le porte SSH delle VM worker Dataflow con indirizzi IP pubblici sono aperte a internet. Per ottenere un elenco dei job Dataflow che hanno avviato VM con indirizzi IP esterni, utilizza il seguente comando gcloud CLI: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" | sort -u Per esaminare l'elenco di tutte le VM con indirizzi IP esterni nel tuo progetto, utilizza il seguente comando gcloud CLI: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Disabilita gli IP pubblici nei tuoi job DataflowQuesto passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. A meno che l'accesso non sia bloccato da un firewall, questa configurazione lascia le porte aperte agli altri utenti con accesso a questa rete. Le pipeline Dataflow che non accedono alla rete internet pubblica non devono utilizzare indirizzi IP pubblici. Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma che non hanno bisogno dell'accesso a internet pubblico, disattiva gli indirizzi IP esterni per queste pipeline. Per le istruzioni, vedi Disattivare l'indirizzo IP esterno. Quali vulnerabilità vengono affrontate?La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli utenti malintenzionati di ottenere l'accesso root alle VM dei worker di Dataflow. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni attacco. Non siamo a conoscenza di tentativi di sfruttamento. |
Medio | CVE-2024-6387 |